一、“疯狂下载者pu”(Worm.Win32.Downloader.pu)威胁级别:★★★★
该病毒为蠕虫木马类,病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动防御失效,遍历System32目录查找\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,连接网络读取列表下载大量恶意文件并运行,给用户清除病毒带来极大的不便。
二、“木马下载者xwr”(Trojan-Downloader.Win32.Small.xwr)威胁级别:★★★
该病毒为下载类木马,病毒运行后,衍生病毒文件DesktopWin.dll到%Windir%\AppPatch下;新增注册表项,创建CLSID值,添加启动项,在ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用Explorer.exe进程自动加载病毒组件,并查找此项下是否存在JavaView键值,若存在,便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%\AppPatch\AclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身;连接网络,下载大量病毒文件并在本机运行。
安天反病毒工程师建议:
1.最好安装
安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.
安天反病毒应急中心及时进行了病毒库更新,升级
安天防线到2008年8月21日的病毒库即可查杀以上病毒。
